VMWARE를 이용한 중요 데이터 보호 방법(?)

 얼마전에 회사 분이랑 로컬 데이터를 보호할 수 있는 방법에 대해 토론(?)을 하다가 VMWARE를 이용해서 중요 자료를 보호할 방법을 생각해봤었다.
 뭐 그리 효용성은 없어 보이긴 한데 일단 기록해두려고 한다.

 나는 평소에 VMWARE를 통해 리눅스나 윈도우를 띄워놓고 작업을 한다.

 연구실에서는 IP를 2개정도 쓰기 때문에  가상 컴퓨터 중 일부는 NAT, 일부는 Bridge 모드로 네트워크에 연결한다.

 NAT는 뭐 사설망을 하나 만드는 것이기 때문에 특별한 것이 없는데 Bridge는 조금 특별한 것 같다.

 아래 그림에서 보듯이 VMWARE에서는 Bridge의 경우 가상으로 Ethernet 인터페이스를 만들어 실제 물리적 H/W에 연결한다.

전에 테스트를 해 본 결과 비록 실제 인터페이스가 IP 설정이 안되어 있어도 링크만 연결되어 있다면 VMWARE 안에서 tcpdump를 통해 패킷을 잡는 것이 가능했었다.

원래 네트워크 장치는 IP 설정이 안되어 있어도 장치에 직접 데이터를 쓰거나 장치를 통해 패킷을 수신하는 것은 가능하다.

그러므로 VMWARE에서는 실제 장치의 최하위단에 직접 데이터를 쓴다고 볼 수 있다. 즉, 호스트 컴퓨터의 링크 계층과 가상 컴퓨터의 링크 계층이 서로 공존하며 각 상위 레이어에 서비스를 제공해준다고 볼 수 있다.

그렇기 때문에 실제 호스트 컴퓨터와 VMWARE의 가상 컴퓨터는 서로 다른 IP 설정을 수행할 수 있으며,나아가 가상 컴퓨터에 글로벌 네트워크를 연결하고, 호스트 컴퓨터에 사설 네트워크를 구성할 수도 있다.

또한 가상 컴퓨터에서 인터넷 공유를 통해 가상 컴퓨터가 호스트 컴퓨터에 인터넷 연결을 제공하는 것도 가능하다.

이를 이용해 시스템을 구성하면, 가상 컴퓨터는 외부 인터넷으로 연결되는 일종의 게잍트웨이가 되고 호스트 컴퓨터는 사설 네트워크로 보호되어지게 된다.

물론 이러한 구성이 보안의 측면에서 그렇게 큰 의미가 된다고 볼 수도 없으며, 시스템 구성도 CPU 성능이 좋고 메모리가 1기가 이상인 요즘의 컴퓨터에서나 가능하고, 컴퓨터 성능을 떨어뜨린다.

하지만 가상 컴퓨터에 방화벽을 설치하거나 보안 정책을 세울 수 있기 때문에, 웜이나 다양한 외부 공격에 대해서 작은 보호 장치가 될 수도 있다고 생각한다.